1) Para un atacante ClickJacking es una herramienta potencial para lograr un AttackGoal.
1.1) Recuerde siempre que es el objetivo de ataque lo que es importante para el atacante, no los medios para lograrlo.
2) Su sitio es vulnerable a ClickJacking si permite que un atacante logre un objetivo de ataque útil .
2.1) NO todos los sitios son vulnerables.
2.2) Los sitios más vulnerables son sitios populares de redes sociales
2.2.1) Específicamente sitios que necesitan permitir # 4.1 a continuación
3) ¿Cuáles son los tipos de AttackGoal (s) que ClickJacking podría habilitar?
3.1) Un objetivo de ataque genérico típico es: engañar al usuario para que realice una sola acción en el sitio Targeted (sin requerir que el usuario inicie sesión nuevamente).
3.2) Un caso específico de este # 3.1 AttackGoal puede ser algo así como hacer que el usuario haga clic en un LikeButton para un Tema en el Sitio Dirigido
3.3) Ver # 5 a continuación.
- ¿Cuáles son las formas y herramientas más seguras y efectivas necesarias para proteger y proteger una computadora portátil Debian y un servidor Debian?
- Como administrador del sistema Linux, ¿qué utiliza para mantenerse actualizado con todas las actualizaciones de seguridad y versiones, fallas de seguridad y nuevas tecnologías?
- ¿Cuál es el mejor antivirus y seguridad de red para win 10?
- ¿Con qué frecuencia son atrapadas las personas comprando drogas en la web oscura?
- ¿Qué es un buen texto introductorio sobre seguridad de la computadora / red?
4) Los ataques ClickJacking (normalmente) requieren que el usuario ya haya iniciado sesión en el sitio TargetedSite
4.1) Los ataques ClickJacking más exitosos se basan en la autenticación de un TargetedSite que no se requiere nuevamente cuando TargetedSite ya está abierto en el navegador.
4.2) Requieren la probabilidad de que el sitio TargetedSite ya esté abierto en un navegador de víctima (s) sea alto.
4.3) Solo una cierta clase de sitios web debe permitir el n. ° 4.1. Otros sitios web deben implementar otras medidas de seguridad para evitar esto. Ver # 6 a continuación.
5) Los ataques exitosos de ClickJacking generalmente han engañado a las Víctimas para que presionen un solo botón, por ejemplo, en el Sitio Dirigido
5.1) Hacer que las víctimas realicen múltiples acciones en el sitio TargetedSite se vuelve mucho más difícil.
6) Si un sitio está completamente protegido contra CSRF_Attack (s) ( falsificación de solicitudes entre sitios (CSRF) ), entonces la probabilidad de un ataque ClickJacking se minimiza .
6.1) Las medidas de seguridad contra CSRF_Attack (s) deben garantizar que no sea posible el # 4.1
6.2) es decir, como parte del ataque ClickJacking, la víctima tendría que ser engañada para autenticarse (es decir, iniciar sesión nuevamente)
7) Incluso si las posibilidades de que un AttackGoal sea exitoso en su sitio a través de un ClickJackingAttack son bajas. Todavía tiene sentido agregar SecurityCounterMeasure (s) para evitar que su sitio se incruste en marcos.
7.1) Las medidas de seguridad estándar para evitar que su sitio se incruste en marcos son relativamente baratas y fáciles de implementar.
7.2) Vale la pena hacerlo por la simple razón de limitar la cantidad de Limitaciones de Seguridad que las compañías de Pruebas de Penetración informarán cuando auditen su sitio.
7.2.1) Incluso si no pueden demostrar que es posible un AttackGoal válido, PenTestCompany (s) generalmente registrará el hecho de que su sitio puede incrustarse en marcos como una posible limitación de seguridad. Lo que perderá tiempo y esfuerzo para convencerlos a ellos y a los clientes de que este no es el caso.